76个在CoinMarketCap前端漏油中排出的钱包

CoinMarketCap网站上的安全漏洞使攻击者短暂地在主页上添加了恶意弹出窗口，导致受害者损失了数千美元。

MetAmask团队在周五晚上警告用户不要将钱包连接到CoinMarketCap的网站，因为硬币跟踪器的前端已被妥协以推动钱包排水骗局。

大约一个小时后，CoinMarketCap确认其站点的访问者在提示时不应连接其钱包。

当晚晚些时候，CMC解释说，其主页上的“涂鸦图像”中的漏洞包含一个链接，该链接通过API调用触发了恶意代码，从而为某些用户带来了意外的弹出窗口。”

加密网络安全公司Coinspect Security表示，它能够重新创建JavaScript注入漏洞，从而通过Lottie Animation JSON文件中的利用来促进CMC Wallet Drainer攻击。

来自其他公司的三名网络安全专家在周末向我确认，Coinspect对事件的评估是准确的。

网络安全企业验证实验室的创始人Trey Blalock告诉我，他能够使用Internet Archive的Wayback Machine检索CoinMarketCap的源代码的副本，以检查事件。

布拉洛克谈到CMC的网站时说：“立即引人注目的是大量使用可扩展的矢量图形（.svg）图像。” “ SVG是创建在各种显示大小上看起来很棒的性能网站的绝佳格式，但是最近的安全漏洞使攻击者可以将HTML脚本标记嵌入SVG图像中，这些svg图像中包含URL的网站中包含URL，使他们能够执行一种跨站点拼图的形式。”